Nullklõpsuga iMessage'i ärakasutamist kasutati ajakirjanike järele luuramiseks

Nuhkvara Pegasuse installimiseks ajakirjanike ja teiste kõrgetasemeliste isikute nutitelefoni kasutati nullklõpsuga iMessage'i ärakasutamist.

Apple armastab tutvustada, kuidas tema iPhone on planeedi kõige turvalisem nutitelefon. Hiljuti rääkisid nad sellest, kuidas nende nutitelefonid on "turu kõige turvalisem tarbija mobiilseade"... kohe pärast seda, kui teadlased avastasid nullklõpsuga iMessage'i ärakasutamise, mida kasutatakse ajakirjanike rahvusvaheliseks luuramiseks.

Amnesty Internationalavaldas raporti teisel päeval see oli eelretsenseeritud kõrval Kodaniku labor, ja raport kinnitas, et Pegasus — NSO grupp-tehtud nuhkvara – installiti seadmetesse edukalt nullpäevase nullklõpsuga iMessage exploiti kaudu. Teadlased avastasid pahatahtliku tarkvara, mis töötab iPhone 12 Pro Max seadmes, mis töötab operatsioonisüsteemiga iOS 14.6, iPhone SE2, milles töötab iOS 14.4, ja iPhone SE2, milles töötab iOS 14.0.1. Seade, milles töötab iOS 14.0.1, ei vajanud nullpäeva ära kasutada.

Eelmisel aastal kasutati sarnast ärakasutamist (nimega KISMET), mida kasutati iOS 13.x seadmetes, ja teadlased

Kodaniku labor märkis, et KISMET erineb oluliselt tehnikatest, mida Pegasus täna iOS 14-s kasutab. Pegasus on olnud juba pikka aega ja oli esmakordselt dokumenteeritud 2016. aastal kui leiti, et see kasutab ära kolme iPhone'i nullpäeva turvaauku, kuigi toona oli see vähem keerukas, kuna ohver pidi ikkagi saadetud lingil klõpsama.

Washington Post üksikasjalik kuidas uus ärakasutamismeetod töötas, kui see nakatas Marokos vangistatud poliitilise aktivisti prantslasest abikaasa Claude Mangini iPhone 11. Kui tema telefoni uuriti, ei suudetud tuvastada, milliseid andmeid sealt välja filtreeriti, kuid kuritarvitamise võimalus oli sellegipoolest erakordne. Teadaolevalt kogub Pegasuse tarkvara e-kirju, kõnekirjeid, sotsiaalmeedia postitusi, kasutajate paroole, kontaktide loendeid, pilte, videoid, helisalvestisi ja sirvimisajalugu. See võib aktiveerida kaameraid ja mikrofone, kuulata kõnesid ja kõnepostisõnumeid ning isegi koguda asukohaloge.

Mangini puhul oli ründevektor Gmaili kasutaja kaudu, kelle nimi oli "Linakeller2203". Mangin ei teadnud sellest kasutajanimest ja tema telefoni oli Pegasusega 2020. aasta oktoobrist 2021. aasta juunini mitu korda häkitud. Mangini telefoninumber oli enam kui 50 000 telefoninumbri loendis enam kui 50 riigist. Washington Post ja mitmed teised uudisteorganisatsioonid. NSO Group ütleb, et litsentsib tööriista eranditult valitsusasutustele, et võidelda terrorismi ja muu vastu raskete kuritegude eest, kuigi on leitud, et selles on lugematu arv ajakirjanikke, poliitilisi tegelasi ja kõrgetasemelisi aktiviste. nimekirja.

Washington Post samuti leitud et loendisse oli ilmunud 1000 telefoninumbrit Indias. Indias hangitud ja kohtuekspertiisi analüüsitud 22 nutitelefonist leiti, et Pegasuse sihtmärgiks oli 10, neist seitse edukalt. Kaheksa 12-st seadmest, mille ohtu teadlased ei suutnud kindlaks teha, olid Androidi nutitelefonid. Kuigi iMessage näib olevat kõige populaarsem viis ohvri nakatamiseks, on ka teisi viise.

Turvalabor kl Amnesty International uuris 67 nutitelefoni, mille numbrid olid nimekirjas, ja leidis kohtuekspertiisi tõendeid nakkuste või nakatumiskatsete kohta 37-st. Neist 34 olid iPhone'id ja 23-l ilmnesid eduka nakatumise tunnused. 11-l ilmnesid nakatumiskatse tunnused. Vaid kolm 15-st uuritud Android-nutitelefonist näitasid katset, kuigi teadlased märkisid, et see võib olla tingitud asjaolust, et Androidi logid ei olnud nii põhjalikud.

iOS-i seadmetes ei säilitata püsivust ja taaskäivitamine on viis Pegasuse tarkvara ajutiselt eemaldamiseks. Pealtnäha tundub see hea asi, kuid see on ka raskendanud tarkvara tuvastamist. Bill Marczak Kodaniku labor selgitas Twitteris veel mõnda osa üksikasjalikult, sealhulgas selgitas, kuidas Pegasuse nuhkvara ei ole aktiivne enne, kui pärast taaskäivitamist käivitatakse nullklõpsuga rünnak.

Apple'i turvatehnika ja arhitektuuri juht Ivan Krstić andis Apple'i jõupingutusi kaitsva avalduse.

Apple mõistab ühemõtteliselt hukka küberrünnakud ajakirjanike, inimõiguste aktivistide ja teiste vastu, kes soovivad maailma paremaks muuta. Apple on üle kümne aasta juhtinud turbeinnovatsiooni tööstust ja selle tulemusel nõustuvad turbeteadlased, et iPhone on kõige turvalisem ja turvalisem tarbijale mõeldud mobiilseade turul."ütles ta avalduses. „Sellised rünnakud, nagu kirjeldatud, on väga keerukad, nende väljatöötamine maksab miljoneid dollareid, neil on sageli lühike säilivusaeg ja neid kasutatakse konkreetsete isikute sihtimiseks. Kuigi see tähendab, et nad ei ohusta valdavat enamust meie kasutajatest, jätkame tööd väsimatult kaitsta kõiki oma kliente ning lisame nende seadmetele pidevalt uusi kaitsevahendeid ja andmed."

Apple tutvustas iOS 14 osana turvameedet nimega "BlastDoor". See on liivakast, mis on loodud Pegasuse laadsete rünnakute vältimiseks. BlastDoor ümbritseb tõhusalt iMessage'i ja analüüsib kõik selles olevad ebausaldusväärsed andmed, takistades samal ajal suhtlemist ülejäänud süsteemiga. Telefoni logisid vaadanud Kodaniku labor näitavad, et NSO Groupi kasutatud ärakasutamine hõlmas ImageIO-d, täpsemalt JPEG- ja GIF-piltide sõelumist. "ImageIO-l on 2021. aastal teatatud rohkem kui tosinast tõsisest veast" Bill Marczak selgitas Twitteris.

See on arenev lugu ja on tõenäoline, et Apple avaldab peagi värskenduse, mis parandab Pegasuse kasutatud ärakasutamist sellistes rakendustes nagu iMessage. Sellised sündmused rõhutavad selle tähtsust igakuised turvavärskendusedja miks on alati oluline installida uusimad.